Аутификация в Kibana

Коллеги, привет.

Подскажите,
У меня кластер эластика состоит из 9 нод
возможно ли настроить обычную аутификацию в Кибана, без включения SSL во всем кластере?

А в чем смысл аутентификации без SSL?

Пользователи не смогут удалять индексы из Кибаны и выполнять другие административные функции.

Понял, цель - создать иллюзию безопасности :smiley: . Если траффик не шифруется то это безопасно только до первого умника который смог перехвать траффик. К сожалению, с этим помочь не смогу.

1 Like

Игорь, нравится мне Ваш подход=)

Хорошо, если с SSL. Поправьте меня в моих размышлениях.
У меня 9 нод эластика (3 мастера +6 дата) + 2 LS + 1 кибана, каждый их элементов кластера установлен на отдельном сервере.
и Центр Подтверждения сертификатов, на всю компанию.

Для включения SSL, мне потребуется:
Сгенерировать cert на любой ноде эластика
Подписать его в ЭЦП
Следовать инструкции по ссылке https://www.elastic.co/blog/configuring-ssl-tls-and-https-to-secure-elasticsearch-kibana-beats-and-logstash

Я правильно понимаю порядок действий?

Хотя с этим вопросом лучше к ИБ обратиться=)
Игорь, спасибо и доброй ночи!

Я правильно понимаю что доступ в кибану должны иметь только определенные пользователи? Можно настроить авторизацию через nginx. Это доп. сервис, но можно обойтись без SSL.

Да, можно через Web сервер решить задачу. У меня некоторое замешательство произошло. Если нода одна я могу настроить обычную авторизацию, а что делать когда нод больше одной так и не нашел информации. В связи с этим и возник вопрос.

Игорь, с TLS между нодами и LS картина более или менее понятна. А как быть с Beat-ами. В их конфигурацию нужно подкладывать сертификат при отправке данных из Beats в LS, а в Ingest Node? Или если трафик идет в LS из Rsyslog например.

Если вы настроите TLS на elasticsearch, то надо менять конфигурацию тех компонентов, которые на прямую посылают информацию в elasticsearch. То есть в вашем случае
это logstash.

Игорь, приветствую!
У меня получилось настроить безопасность кластера c сертификатами. Подскажите, столкнулся с ситуацией. При настройке MetricBeat и FileBeat в output я прописываю LS (данные успешно передаются в LS без сертификата). Но в xpack.мониторинг и в установку Dashboard у меня прописывается Elastic и Kibana соотвественно (c SSL). Beats ругается на то, что ему нужен сертификат типа setup_Kibana.crt или что то в этом роде. Получается что для установки Dashboard мне нужен другой сертификат или как правильно готовить данный механизм?

А как вы SSL в Kibana настроили? При установке дашбордов beat обращается напрямую c Kibana, поэтому ему нужны сертификаты kibana а не elasticsearch.

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.